第1章信息安全概述廣義的信息安全是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其系統(tǒng)中的信息受到保護(hù).信息安全威脅從總體上可以分為人為因素的威脅和非人為因素的威脅。人為因素的威脅包括無意識的威脅和有意識的威脅。非人為因素的威脅包括自然災(zāi)害、系統(tǒng)故障和技術(shù)缺陷等。信息安全不僅涉及技術(shù)問題，而且還涉及法律、政策和管理問題。信息安全事件與政治、經(jīng)濟(jì)、文化、法律和管理緊密相關(guān)。4?網(wǎng)路不安全的根本原因是系統(tǒng)漏洞、協(xié)議的開放新和人為因素。人為因素包括黑客攻擊、計算機(jī)犯罪和信息安全管理缺失。5?保密性、完整性、可用性、可控性和不可否認(rèn)性是從用戶的角度提出的最基本的信息服務(wù)需求，也稱為信息安全的基本特征。怡0基于0$1參考互連模型提出了抽象的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，定義了五大類安全服務(wù)（認(rèn)證（鑒別））服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抗否認(rèn)性服務(wù)、八大種安全機(jī)制（加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、業(yè)務(wù)流填充機(jī)制、路由控制機(jī)制和公證機(jī)制）和完整的安全管理標(biāo)準(zhǔn)。信息安全既涉及高深的理論知識，又涉及工程應(yīng)用實(shí)踐。一個完整的信息安全保障體制系框架由管理體系、組織機(jī)構(gòu)體系和技術(shù)體系組成。技術(shù)體系可劃分為物理安全、網(wǎng)絡(luò)安全、信息安全、應(yīng)用安全和管理安全五個層次，全面揭示了信息安全研究的知識體系和工程實(shí)施方案框架。第2章信息保密技術(shù)密碼學(xué)的發(fā)展大致經(jīng)歷了手工加密階段、機(jī)械加密階段和計算機(jī)加密階段。密碼技術(shù)是現(xiàn)代信息安全的基礎(chǔ)和核心技術(shù)，它不僅能夠?qū)π畔⒓用?，還能完成信息的完整性驗(yàn)證、數(shù)字簽名和身份認(rèn)證等功能。按加密密鑰和解密密鑰是否相同，密碼體制可分為對稱密碼體制和非對稱密碼體制。對稱密碼體制又可分為序列密碼和分組密碼。2?移位密碼、仿射密碼、維基利亞密碼和置換密碼等是常用的古典密碼案例，雖然在現(xiàn)代科技環(huán)境下已經(jīng)過時，但它們包含的最基本的變換移位和代替在現(xiàn)代分組密碼設(shè)計中仍然是最基本的變換。3?對稱密碼體制要求加密、解密雙方擁有相同的密鑰，其特點(diǎn)是加密速度快、軟/硬件容易實(shí)現(xiàn)，通常用于傳輸數(shù)捋的加密。常用的加密算法有DES、IDEA。對稱密碼算法根據(jù)加密分組間的關(guān)聯(lián)方式一般分為4種：電子密碼本（ECB）模式、密文鏈接（CBC）模式、密文反饋（CFB）模式和輸出反饋（OFB）模式。非對稱密碼體制的加密密鑰和解密密鑰是不同的。非對稱密碼被用做加密時，使用接收者的公開密鑰，接收方用自己的私有密鑰解密；用做數(shù)字簽名時，使用發(fā)送方（簽名人）的私有密鑰加密（或稱為簽名），接收方（或驗(yàn)證方）收到簽名時使用發(fā)送方的公開密鑰驗(yàn)證。常有的算法有RSA密碼算法,Diffie-Hellman密鑰交換算法、ELGama1加密算法等。5?加密可以用通信的三個不同層次來實(shí)現(xiàn)，即節(jié)點(diǎn)加密、鏈路加密和端到端加密。節(jié)點(diǎn)加密是指對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密，不對報頭加密；鏈路加密在數(shù)據(jù)鏈路層進(jìn)行，是對相鄰節(jié)點(diǎn)之間的鏈路上所傳輸?shù)臄?shù)據(jù)進(jìn)行加密，在節(jié)點(diǎn)處，傳輸數(shù)據(jù)以文明形式存在，側(cè)重于在通信鏈路上而不考慮信源和信宿；端到端加密是對源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)，傳輸數(shù)據(jù)在傳輸過程中始終以密文形式存在。6?序列密碼要求具有良好的偽隨機(jī)特性。產(chǎn)生密鑰流的常見方法有線性同余法、RC4、線性反饋移位寄存器（LFSR）、非線性反饋移位寄存器、有限自動機(jī)和混沌密碼等。序列密碼主要用于軍事、外交和其他一些重要領(lǐng)域、公開的加密方案并不多。7?加密算法：指將明文轉(zhuǎn)換成密文的變換函數(shù)，表示為C=Ek（M）.8?解密算法：指將密文轉(zhuǎn)換為明文的變換函數(shù)，表示為M-DK（C）第3章信息隱藏技術(shù)信息隱藏是將秘密信息隱藏在另一非機(jī)密的載體信息中，通過公共信道進(jìn)行傳遞。秘密信息引產(chǎn)后，攻擊者無法判斷載體信息中是否隱藏信息，也無法從載體信息中提取或去除所隱藏的秘密信息。信息隱藏研究的內(nèi)容包括了隱寫術(shù)（隱藏算法）、版權(quán)標(biāo)識、隱通道和匿名通信等。2?隱寫術(shù)是指把秘密信息潛入到看起來普通的載體信息（尤其是多媒體信息）種，用于存儲或通過公共網(wǎng)絡(luò)進(jìn)行通信的技術(shù)。古代隱寫術(shù)包括技術(shù)性的隱寫術(shù)、語言學(xué)中的隱寫術(shù)和用于版權(quán)保護(hù)的隱寫術(shù)。3?信息隱藏的目的在于把機(jī)密信息隱藏域可以公開的信息載體之中。信息載體可以使任何一種多媒體數(shù)據(jù)，如音頻、視頻、圖像，甚至文本數(shù)據(jù)等，被隱藏的機(jī)密信息也可以是任何形式。信息隱藏設(shè)計兩個算法：信息潛入算法和信息提取算法。常見的信息隱藏算法有空間域算法和變換域算法。4?數(shù)字水印是在數(shù)字化的信息載體（指多媒體作品）中嵌入不明顯的記號（包括作品的版權(quán)所有者和發(fā)行者等），其目的不是為了隱藏火傳遞這些信息，而是在發(fā)現(xiàn)盜版貨發(fā)生知識產(chǎn)權(quán)糾紛時候，用來證明數(shù)字作品的真實(shí)性。被嵌入的標(biāo)識與源數(shù)據(jù)緊密結(jié)合并隱藏其中，成為源數(shù)據(jù)不可分割的一部分，并可以經(jīng)歷一些不破壞資源數(shù)據(jù)的使用價值的操作而存活下來。隱通道是指系統(tǒng)中利用那些本來不是用于通信的系統(tǒng)資源，繞過強(qiáng)制春去控制進(jìn)行非法通信的一種機(jī)制。根據(jù)隱通道的形成，可分為存儲隱通道和事件隱通道：根據(jù)隱通道是否存在噪音，可分為噪音隱通道和無噪音隱通道；根據(jù)隱通道所涉及的同步變量或信息的個數(shù)，可分為聚集隱通道和非聚集隱通道。隱通道的主要分析方法有信息流分析方法、非干擾分析方法和共享資源矩陣方法。匿名通信是指通過一定了的方法將業(yè)務(wù)流中的通信關(guān)系加以隱藏、使竊聽者無法直接獲知或退職雙方的通信關(guān)系或通信雙方身份的一種通信技術(shù)。匿名通信的重要目的就是隱藏通信雙方的身份或通信關(guān)系，從而實(shí)現(xiàn)對網(wǎng)絡(luò)用戶各個人通信及涉密通信的更好的保護(hù)。7?信息隱藏具有五個特性：安全性，魯棒性，不可檢測性，透明性，自恢復(fù)性.第4章消息認(rèn)證技術(shù)用做消息認(rèn)證的摘要函數(shù)具有單向性、抗碰撞性。單向函數(shù)的優(yōu)良性質(zhì)，使其成為公共密碼、消息壓縮的數(shù)學(xué)基礎(chǔ)。消息認(rèn)證碼指使用收、發(fā)雙方共享的密鑰K和長度可變的消息輸出長度固定的函數(shù)值MAC,也稱為密碼校驗(yàn)和°MAC就是帶密鑰的消息摘要函數(shù)，或稱為一種帶密鑰的數(shù)字指紋，它與普通摘要函數(shù)（Hash函數(shù)）是有本質(zhì)區(qū)別的。消息完整性校驗(yàn)的一般準(zhǔn)則是將實(shí)際的到的信息的數(shù)字指紋與原數(shù)字指紋進(jìn)行比對。如果一致，則說明消息是完整的，否則，消息是不完整的。因產(chǎn)生數(shù)字指紋不要求具有可逆性，加密函數(shù)、摘要函數(shù)均可使用，且方法很多。MD5和SHA1算法都是典型的Hash函數(shù)，MD5算法的輸出長度是128bit,SHA-1算法的輸出長度是160bit。從抗碰撞性的角度來講，SHAT算法更安全。為了抵抗生日攻擊，通常建議消息摘要的長度至少應(yīng)為128bit第5章密鑰管理技術(shù)密碼系統(tǒng)中依據(jù)密鑰的重要性可將密鑰大體上分為會話密鑰、密鑰加密密鑰和主密鑰三大類。主密鑰位于密鑰層次的最高層，用于對密鑰加密密鑰、會話密鑰或其他下層密鑰的保護(hù)，一般存在于網(wǎng)絡(luò)中心、主節(jié)點(diǎn)、主處理器中，通過物理或電子隔離的方式受到嚴(yán)格的保護(hù)。密鑰在大多數(shù)情況下用隨機(jī)數(shù)生成器產(chǎn)生，但對具體的密碼體制而言，密鑰的選取有嚴(yán)格的限制。密鑰一般需要保密存儲?；诿荑€的軟保護(hù)指密鑰先加密后存儲。基于硬件的物理保護(hù)指密鑰存儲于與計算機(jī)隔離的智能卡、USB盤或其他存儲設(shè)備中。3?密鑰分為網(wǎng)外分配方式和網(wǎng)內(nèi)分配方式。前者為人工分配，后者是通過計算機(jī)網(wǎng)絡(luò)分配。密鑰的分配分為秘密密鑰的分配和公開密鑰的分配。秘密密鑰既可用加密辦法由通信雙方確定，又可使用KDC集中分配。公開密鑰有廣播式公開發(fā)布、建立公鑰目錄、帶認(rèn)證的密鑰分配、使用數(shù)字證書分配等4種形式。4?密鑰共享方案可將主密鑰分解為多個子密鑰份額，由若干個人分別保管，這些保管的人至少要達(dá)到一定數(shù)量才能恢復(fù)這個共享密鑰?；诿荑€共享門限思想的會議密鑰廣播方案能夠較好地解決網(wǎng)絡(luò)通信中信息的多方安全傳遞問題。密鑰托管允許授權(quán)者監(jiān)聽通信內(nèi)容和解密密文，但這并不等于用戶隱私完全失控，適當(dāng)?shù)募夹g(shù)手段在監(jiān)管者和用戶之間的權(quán)衡是值得研究的。第6章數(shù)字簽名技術(shù)判斷電子數(shù)據(jù)真?zhèn)蔚囊罁?jù)是數(shù)字簽名。數(shù)字簽名其實(shí)就是通過一個單向函數(shù)對電子數(shù)據(jù)計算產(chǎn)生別人無法識別的數(shù)字串，這個數(shù)字串用來證明電子數(shù)據(jù)的來源是否真實(shí)，內(nèi)容是否完整。數(shù)字簽名可以解決電子數(shù)據(jù)的篡改、冒充、偽造和否認(rèn)等問題。2?本章介紹了三種數(shù)字簽名方案，其中RSA數(shù)字簽名的安全性是基于大整數(shù)因子分解的困難問題，Schnorr數(shù)字簽名方案和DSA數(shù)字簽名方案的安全性是基于素數(shù)域上離散對數(shù)求解的困難問題。其共性是簽名過程一定用到簽名人的私鑰，驗(yàn)證過程一定用到簽名人的公鑰。為適應(yīng)特殊的應(yīng)用需求，各種數(shù)字簽名方案相繼被提出，本章介紹了盲簽名、代理簽名、簽名加密、多重簽名、群簽名和環(huán)簽名等基本概念。4?數(shù)字簽名應(yīng)用的公鑰基礎(chǔ)設(shè)施，稱為PKI。目前，我國各省市幾乎都建立了CA中心，專門為政府部門、企業(yè)、社會團(tuán)體和個人用戶提供加密和數(shù)字簽名服務(wù)。5.iSignature電子簽章系統(tǒng)是一套基于Windows平臺的應(yīng)用軟件，它可以對Word、Excel、Html文件進(jìn)行數(shù)字簽名，即加蓋電子印章，只有合法用戶才能使用。第7章物理安全1.物理安全是針對計算機(jī)網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)施來說的，既包括計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施、環(huán)境等存在的安全威脅，也包括在物理介質(zhì)上數(shù)據(jù)存儲和傳輸存在的安全問題。物理安全是計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的基本保障，是信息安全的基礎(chǔ)。2?環(huán)境安全是指對系統(tǒng)所在環(huán)境（如設(shè)備的運(yùn)行環(huán)境需要適當(dāng)?shù)臏囟?、濕度，盡量少的煙塵，不間斷電源保障等）的安全保護(hù)。環(huán)境安全技術(shù)是指確保物理設(shè)備安全、可靠運(yùn)行的技術(shù)、要求、措施和規(guī)范的總和，主要包括機(jī)房安全設(shè)計和機(jī)房環(huán)境安全措施。3.廣義的設(shè)備安全包括物理設(shè)備的防盜，防止自然災(zāi)害或設(shè)備本身原因?qū)е碌臍模乐闺姶判畔⑤椛鋵?dǎo)致的信息的泄漏，防止線路截獲導(dǎo)致的信息的毀壞和篡改，抗電磁干擾和電源保護(hù)等措施。狹義的設(shè)備安全是指用物理手段保障計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)安全的各種技術(shù)。常見的物理設(shè)備安全技術(shù)有訪問控制技術(shù)、防復(fù)制技術(shù)、硬件防輻射技術(shù)以及通信線路安全技術(shù)。第8章操作系統(tǒng)安全1?漏洞是指系統(tǒng)中存在的弱點(diǎn)或缺點(diǎn)，漏洞的產(chǎn)生主要是由于程序員不正確和不安全編程所引起的。按照漏洞的形成原因，漏洞大體上可以分為程序邏輯結(jié)構(gòu)漏洞、程序設(shè)計錯誤漏洞、開放式協(xié)議造成的漏洞和人為因素造成的漏洞。按照漏洞被人掌握的情況，漏洞又可以分為已知漏洞、未知漏洞和Oday漏洞。Windows系統(tǒng)的安全性根植于Windows系統(tǒng)的核心層，它為各層次提供一致的安全模型。Windows系統(tǒng)安全模型由登錄流程(LoginProcess,LP)、本地安全授權(quán)(LocalSecurityAuthority,LSA)、安全帳號管理器(SecurityAccountManger,SAM)和安全引用監(jiān)視器(SecurityReferenceMonitor,SRM)組合而成。Windows注冊表是一個二進(jìn)制數(shù)據(jù)庫，在結(jié)構(gòu)上有HKEYLOCALMACHINE、HKEYCURRENTCONFIG,HKEYCURRENT_USER、HKEYCLASSESROOT、HKEY_USERS5個子樹。用戶可以通過設(shè)定注冊表編輯器的鍵值來保障系統(tǒng)的安全。帳號是Windows網(wǎng)絡(luò)中的一個重要組成部分，它控制用戶對資源的訪問。在Windows2000中有兩種主要的帳號類型：域用戶帳號和本地用戶帳號。另外‘Windows2000操作系統(tǒng)中還有內(nèi)置的用戶帳號。內(nèi)置的用戶帳號又分為Administrator帳號和Guest帳號等。Administrator帳號被賦予在域中和計算機(jī)中，具有不受限制的權(quán)利。Guest帳號一般被用于在域中或計算機(jī)中沒有固定帳號的用戶臨時訪問域或計算機(jī)，該帳號默認(rèn)情況下不允許對域或計算機(jī)中的設(shè)置和資源做永久性的更改。Windows系統(tǒng)的安全策略可以從物理安全.安裝事項.管理策略設(shè)置方面來考慮.管理策略上有打開審核策略.開啟賬號策略，開啟密碼策略?停用Guest賬號，限制不必要的用戶數(shù)量.為系統(tǒng)Administrator賬戶改名?創(chuàng)建一個陷阱賬戶，關(guān)閉不必要的服務(wù)，關(guān)閉不必要的端口.設(shè)置目錄和文件權(quán)限，關(guān)閉IPC和默認(rèn)共享，禁止空連接，關(guān)閉默認(rèn)共享等手段及備份數(shù)據(jù)，使用配置安全工具等.第9章網(wǎng)絡(luò)安全協(xié)議由于TCP/IP協(xié)議在最初設(shè)計時是基于一種可信環(huán)境的，沒有考慮安全性問題，因此它自身存在許多固有的安全缺陷。網(wǎng)絡(luò)安全協(xié)議是為了增強(qiáng)現(xiàn)有TCP/IP網(wǎng)絡(luò)的安全性而設(shè)計和制定的一系列規(guī)范和標(biāo)準(zhǔn)。目前已經(jīng)有眾多的網(wǎng)絡(luò)安全協(xié)議，根據(jù)TCP/IP分層模型相對應(yīng)的主要的安全協(xié)議有應(yīng)用層的S-HTTP、PGP，傳輸層的SSL、TLS,網(wǎng)絡(luò)層的IPSec以及網(wǎng)絡(luò)接口層的PPTP、L2TP等。SSL協(xié)議是在傳輸層提供安全保護(hù)的協(xié)議。SSL協(xié)議可提供以下3種基本的安全功能服務(wù)：信息機(jī)密、身份認(rèn)證和信息完整。SSL協(xié)議不是一個單獨(dú)的協(xié)議，而是兩層協(xié)議，最主要的兩個SSL子協(xié)議是SSL握手協(xié)議和SSL記錄協(xié)議。SSL記錄協(xié)議收到高層數(shù)據(jù)后，進(jìn)行數(shù)據(jù)分段、壓縮、認(rèn)證、加密，形成SSL記錄后送給傳輸層的TCP進(jìn)行處理。SSL握手協(xié)議的目的是使客戶端和服務(wù)器建立并保持用于安全通信的狀態(tài)信息，如SSL協(xié)議版本號、選擇壓縮方法和密碼說明等。IPSec協(xié)議由兩部分組成，即安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護(hù)方式:密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)，以及如何對通信實(shí)體的身份進(jìn)行鑒別。安全協(xié)議部分包括AH和ESP兩個安全協(xié)議，通過這兩個協(xié)議為IP協(xié)議提供基于無連接的數(shù)據(jù)完整性和數(shù)據(jù)機(jī)密性，加強(qiáng)IP協(xié)議的安全性。密鑰協(xié)商部分主要是因特網(wǎng)密鑰交換協(xié)議(IKE),其用于動態(tài)建立安全關(guān)聯(lián)(SA),為IPSec的AH和ESP協(xié)議提供密鑰交換管理和安全關(guān)聯(lián)管理，同時也為ISAKMP提供密鑰管理和安全管理。第10章應(yīng)用層安全技術(shù)應(yīng)用系統(tǒng)的安全技術(shù)是指在應(yīng)用層面上解決信息交換的機(jī)密性和完整性，防止在信息交換過程中數(shù)據(jù)被非法竊聽和篡改的技術(shù)。隨著用戶對Web服務(wù)的依賴性增長，特別是電子商務(wù)、電子政務(wù)等一系列網(wǎng)絡(luò)應(yīng)用服務(wù)的快速增長，Web的安全性越來越重要。Web安全技術(shù)主要包括Web服務(wù)器安全技術(shù)、Web應(yīng)用服務(wù)安全技術(shù)和Web瀏覽器安全技術(shù)。電子郵件的安全問題備受人們關(guān)注，其安全目標(biāo)包括郵件分發(fā)安全、郵件傳輸安全和郵件用戶安全。4?身份認(rèn)證是保護(hù)信息系統(tǒng)安全的第一道防線，它限制非法用戶訪問網(wǎng)絡(luò)資源。常用的身份認(rèn)證方法包括口令、密鑰、記憶卡、智能卡、USBKey和生物特征認(rèn)證。PKI是能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理的密鑰管理平臺，是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心。PKI由認(rèn)證中心(CA)、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)和應(yīng)用接口等部分組成。第11章網(wǎng)絡(luò)攻擊技術(shù)1.網(wǎng)絡(luò)攻擊的過程分為三個階段：信息收集、攻擊實(shí)施、隱身鞏固。2?信息收集是指通過各種方式獲取所需要的信息。網(wǎng)絡(luò)攻擊的信息收集技術(shù)主要有網(wǎng)絡(luò)踩點(diǎn)、網(wǎng)絡(luò)掃描和網(wǎng)絡(luò)監(jiān)聽。踩點(diǎn)就是攻擊者通過各種途徑對所要攻擊的目標(biāo)進(jìn)行多方面的調(diào)查和了解，摸清楚對方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時刻，為下一步入侵提供良好的策略。網(wǎng)絡(luò)掃描是一種自動檢測遠(yuǎn)程或本地主機(jī)安全脆弱點(diǎn)的技術(shù)。網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視網(wǎng)絡(luò)狀況、監(jiān)測網(wǎng)絡(luò)中數(shù)據(jù)的技術(shù)。3.攻擊實(shí)施是網(wǎng)絡(luò)攻擊的第二階段。常見的攻擊實(shí)施技術(shù)有社會工程學(xué)攻擊、口令攻擊、漏洞攻擊、欺騙攻擊、拒絕服務(wù)攻擊等。所謂’‘社會工程學(xué)攻擊”，就是利用人們的心理特征，騙取用戶的信任，獲取機(jī)密信息、系統(tǒng)設(shè)置等不公開資料，為黑客攻擊和病毒感染創(chuàng)造有利條件。4?隱身鞏固是網(wǎng)絡(luò)攻擊的第三階段。網(wǎng)絡(luò)隱身技術(shù)是網(wǎng)絡(luò)攻擊者保護(hù)自身安全的手段，而鞏固技術(shù)則是為了長期占領(lǐng)攻擊戰(zhàn)果所做的工作。第12章網(wǎng)絡(luò)防御技術(shù)1.網(wǎng)絡(luò)防御技術(shù)分為兩大類：被動防御技術(shù)和主動防御技術(shù)。被動防御技術(shù)是基于特定特征的、靜態(tài)的、被動式的防御技術(shù)，主要有防火墻技術(shù)、漏洞掃描技術(shù)、入侵檢測技術(shù)和病毒掃描技術(shù)等。主動防御技術(shù)是基于自學(xué)習(xí)和預(yù)測技術(shù)的主動式防御技術(shù)，主要有入侵防御技術(shù)、計算機(jī)取證技術(shù)、蜜^技術(shù)和網(wǎng)絡(luò)自生存技術(shù)等。2?防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，其主要功能有：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；防止入侵者接近其他防御設(shè)施；限定用戶;為監(jiān)視Internet的安全提供方便。入侵檢測技術(shù)是指通過對計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象的技術(shù)。一個完整的入侵檢測過程包括3個階段：信息收集、數(shù)據(jù)分析和入侵響應(yīng)。計算機(jī)取證也稱數(shù)字取證、電子取證，是指對計算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機(jī)軟、硬件技術(shù)，按照符合法律規(guī)范的方式，對能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說服性的、存在于計算機(jī)、相關(guān)外設(shè)和網(wǎng)絡(luò)中的電子證據(jù)的識別、獲取、傳輸、保存、分析和提交認(rèn)證的過程。計算機(jī)取證技術(shù)主要包括計算機(jī)證據(jù)獲取技術(shù)、計算機(jī)證據(jù)分析技術(shù)、計算機(jī)證據(jù)保存技術(shù)和計算機(jī)證據(jù)提交技術(shù)等。5?蜜罐是一個資源，它的價值在于它會受到攻擊或威脅，這意味著一個蜜維希望受到探測、攻擊和潛在地被利用。蜜罐并不修正任何問題，它們僅為我們提供額外的、有價值的信息。從應(yīng)用層面上分，蜜罐可以分為產(chǎn)品型蜜^和研究型蜜耀；從技術(shù)層面上分，蜜罐可以分為低交互蜜罐、中交互蜜罐和高交互蜜罐。第13章計算機(jī)病毒1.計算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。傳染性是病毒的最基本的特征，此外病毒還具有破壞性、隱蔽性、潛伏性與可觸發(fā)性、誘惑欺騙性等待性。2?計算機(jī)病毒的感染動作受到觸發(fā)機(jī)制的控制，病毒觸發(fā)機(jī)制還控制了病毒的破壞動作。病毒程序一般由主控模塊、感染模塊、觸發(fā)模塊和破壞模塊組成。其中主控模塊在總體上控制病毒程序的運(yùn)行，協(xié)調(diào)其他模塊的運(yùn)作。染毒程序運(yùn)行時，首先運(yùn)行的是病毒的主控模塊。計算機(jī)病毒從其發(fā)展來看分為4個階段。早期病毒攻擊的目標(biāo)較單一，病毒傳染目標(biāo)以后的特征比較明顯，病毒程序容易被人們分析和解剖。網(wǎng)絡(luò)時代，病毒與黑客程序結(jié)合，傳播速度非常快，破壞性更大，傳播渠道更多，實(shí)時檢測更困難。引導(dǎo)型病毒和文件型病毒是典型的DOS時代的病毒，對它們工作機(jī)理的研究同樣具有重要的意義.宏病毒不感染EXE和COM文件，它是利用MicrosoftWord的開放性專門制作的具有病毒特點(diǎn)的宏的集合.宏病毒在1997年非常流行，并且該年成為■去病毒年〃.網(wǎng)頁腳本病毒和蠕蟲病毒是隨著網(wǎng)絡(luò)的發(fā)展而發(fā)展起來的，它們往往和木馬程序結(jié)合在一起侵入主機(jī).5?反病毒技術(shù)因病毒的出現(xiàn)而出現(xiàn).并且必將伴隨著病毒的長期存在而長期存在下去?反病毒技術(shù)一般有特征值掃描技術(shù).啟發(fā)式分析技術(shù)，完整性驗(yàn)證技術(shù)虛擬機(jī)技術(shù)，沙箱技術(shù)及計算機(jī)免疫技術(shù)，動態(tài)陷阱技術(shù)，軟件模擬技術(shù)，數(shù)據(jù)挖掘技術(shù)，預(yù)先掃描技術(shù)和安全操作系統(tǒng)技術(shù)等.第14章信息安全法律與法規(guī)1.計算機(jī)犯罪是指非法侵入受國家保護(hù)的重要計算機(jī)信息系統(tǒng)及破壞計算機(jī)信息系統(tǒng)并造成嚴(yán)重后果的應(yīng)受刑法處罰的危害社會的行為。計算機(jī)犯罪是一種新的社會犯罪現(xiàn)象，